漏洞补丁如何打？优选是关键

稿源：安全牛 2019-01-31 14:41:28

软件漏洞从来不少，但不是所有漏洞都同样严重，只有一小部分需要立即修复。至少 Kenna Security 与 Cyentia Institute 在一月下旬发布的《从优选到预测：真正的修复》报告中是这么说的。

该报告分析了超过500个机构管理的30亿个漏洞。这个庞大的数据集中，研究人员判断约有5.44亿个漏洞可被评定为高风险漏洞。好消息是，70%的高危漏洞已有补丁可用。坏消息是，还有1.63亿个漏洞大门洞开。

Kenna Security 首席技术官 Ed Bellis 向媒体表示：

理想状况下，公司企业应修复自身基础设施中的每个漏洞，但我们知道，现实是他们没有时间也没有资源这么做。因此，安全团队和IT团队需要为自己的修复工作排个优先顺序，优先修复风险最高的漏洞，然后在时间和资源允许的情况下再解决其他漏洞。

着眼这广袤的威胁场景，该报告指出，仅约1/3的CVE是真实环境中现实存在的。

另外，已公布的CVE中，仅5%有现成的漏洞利用程序。本项研究中发现的5.44亿漏洞就对应企业环境中有已知漏洞利用程序的那5%的CVE。

Bellis表示，除了是否存在漏洞利用程序，Kenna Security 平台还运用多种因素计算风险，包括资产关键性、全球攻击规模与速度、攻击类型、漏洞描述元数据及资产暴露面等。

开放漏洞

至于开放高风险漏洞，该报告指出，Java和Acrobat相关漏洞是公司企业漏补最严重的。

总体上，即便有补丁可用，公司企业也未必已部署该补丁。我们没有深入探寻此类漏洞未修复的原因，但可能的原因有很多。

因素之一是企业中此类技术的广大应用面，Oracle、微软和Adobe之类供应商的技术产品在公司企业中应用非常广泛，是天然的攻击活靶子。而Java往往部署在代码中，与老旧系统和应用深度耦合，非常难以在不影响业务的情况下更新或修复。

研究还发现，虽然微软各条产品线上漏洞之多几成业界笑话，公司企业总体上对微软系产品的漏洞修复却更为有效。

其中原因可能是微软Office之类应用的修复通常不会造成太久的业务中断，且微软的周二补丁日等现行项目也对使用微软软件的公司企业产生了非常积极的影响。

周二补丁日是微软定期向用户提供补丁的日子，通常在每月第二个周二。

Bellis表示，下一个报告中，研究人员将对整个数据集应用覆盖面、效率和存活分析(修复所需时间)等概念。

公司企业需要根据对自家公司的固有风险来给漏洞排出优先顺序，重点突出、有的放矢才能高效抵御当今这庞大的威胁界面。

暂无

漏洞补丁如何打？ 优选是关键